Cách sử dụng Zero Trust và IAM để chống lại các cuộc tấn công mạng trong thời kỳ suy thoái kinh tế

Mặc dù ngân sách tăng lên hai con số, CISO và các nhóm của họ đang cố gắng ngăn chặn các hành vi vi phạm nội bộ, tham ô và gian lận ngày càng gia tăng. Danh tính là vectơ tấn công được lựa chọn trong thời kỳ suy thoái, trầm trọng hơn bởi chi phí lạm phát làm tăng chi phí sinh hoạt, khiến cho những tuyên bố sai sự thật về kiếm tiền dễ dàng của email lừa đảo càng trở nên hấp dẫn hơn.

Như một CISO đã tâm sự với VentureBeat trong một cuộc phỏng vấn gần đây, “suy thoái kinh tế làm cho các khía cạnh rủi ro doanh thu của một trường hợp kinh doanh không tin tưởng trở thành hiện thực, cho thấy lý do tại sao việc bảo mật danh tính lại cần được cấp bách.”

Những kẻ tấn công sử dụng thuật toán máy học (ML) để tạo và khởi chạy các hoạt động xâm nhập không có phần mềm độc hại. Những tài khoản này cho 71% của tất cả các phát hiện được lập chỉ mục bởi Biểu đồ mối đe dọa CrowdStrike.

Mới nhất Chim ưng OverWatch Threat Hunting Report minh họa cách các chiến lược tấn công nhằm vào danh tính trước tiên. “Một phát hiện quan trọng từ báo cáo là có tới 60% các vụ xâm nhập tương tác mà OverWatch quan sát được liên quan đến việc sử dụng thông tin xác thực hợp lệ, những thông tin này tiếp tục bị kẻ thù lạm dụng để tạo điều kiện truy cập ban đầu và di chuyển ngang,” Param Singh, Phó chủ tịch của Falcon OverWatch cho biết tại CrowdStrike.

CrowdStrike mua lại định vị lại phản ánh cách các nhà cung cấp nền tảng an ninh mạng hàng đầu tập trung vào việc áp dụng các công nghệ mới để cung cấp khả năng quản lý bề mặt tấn công bên ngoài đồng thời bảo vệ doanh nghiệp trước các mối đe dọa nội bộ.

Reposify quét web hàng ngày để tìm các nội dung bị lộ, cho phép doanh nghiệp có khả năng hiển thị chúng và xác định những hành động họ cần thực hiện để khắc phục chúng. Tại sự kiện Fal.Con năm ngoái, CrowdStrike đã công bố kế hoạch sử dụng công nghệ của Reposify để giúp khách hàng của mình ngăn chặn các cuộc tấn công nội bộ.

Tấn công danh tính gia tăng trong nền kinh tế đi xuống

Vi phạm dựa trên danh tính bị gián đoạn 78% hoạt động của doanh nghiệp vào năm ngoái và 84% cho biết họ đã gặp phải vi phạm liên quan đến danh tính.

Danh tính là một công cụ tấn công cốt lõi cho những kẻ tấn công trong nền kinh tế suy thoái; chiến lược của họ là giành quyền kiểm soát một tổ chức. Mục tiêu yêu thích của những kẻ tấn công là các hệ thống quản lý truy cập đặc quyền và danh tính kế thừa dựa trên bảo mật dựa trên vành đai thường không được cập nhật trong nhiều năm. Sau khi xâm nhập, những kẻ tấn công ngay lập tức lấy quyền quản trị viên, tạo danh tính lừa đảo và bắt đầu đánh cắp dữ liệu tài chính trong khi cố gắng chuyển tiền mặt.

Những kẻ tấn công đang sử dụng Trò chuyệnGPT để tinh chỉnh các cuộc tấn công kỹ thuật xã hội trên quy mô lớn và khai thác dữ liệu để khởi chạy cá voi lừa đảo các cuộc tấn công. của Ivanti Báo cáo Tình trạng Chuẩn bị cho An ninh năm 2023 cho thấy gần một phần ba CEO và thành viên ban quản lý cấp cao đã trở thành nạn nhân của các trò lừa đảo, bằng cách nhấp vào cùng một liên kết hoặc gửi tiền.

Danh tính đang bị bao vây trong thời gian kinh tế không chắc chắn và suy thoái. CISO lo sợ rằng nhân viên nội bộ sẽ bị lừa lấy mất mật khẩu và thông tin đăng nhập đặc quyền bằng kỹ thuật xã hội và các cuộc tấn công lừa đảo — hoặc tệ hơn là họ có thể lừa đảo.

CISO, nhà phân tích bảo mật nội bộ làm việc cho các trung tâm điều hành bảo mật (SOC) và các nhà lãnh đạo không tin tưởng đã nói với VentureBeat rằng một nhân viên CNTT giả mạo có đặc quyền quản trị viên là cơn ác mộng tồi tệ nhất của họ.

Snowden một câu chuyện cảnh báo

Những CISO sẵn sàng thảo luận vấn đề với VentureBeat đều đã tham khảo cuốn sách của Edward Snowden Bản ghi vĩnh viễn như một ví dụ về lý do tại sao họ rất lo lắng về những kẻ tấn công lừa đảo.

Một CISO đã trích dẫn đoạn văn: “Bất kỳ nhà phân tích nào vào bất kỳ lúc nào cũng có thể nhắm mục tiêu vào bất kỳ ai. Bất kỳ người chọn nào, bất cứ nơi nào tôi đang ngồi tại bàn làm việc của mình, chắc chắn có quyền nghe lén bất kỳ ai, từ bạn hoặc kế toán của bạn đến thẩm phán liên bang, thậm chí cả Tổng thống.

Một giám đốc an ninh mạng nói với VentureBeat: “Chúng tôi luôn tìm kiếm nhiên liệu để giữ cho các giám đốc điều hành cấp cao và hội đồng tài trợ không tin tưởng, và những đoạn trong cuốn sách của Snowden có hiệu quả trong việc hoàn thành nhiệm vụ đó”.

Một người thuê cốt lõi không tin tưởng đang giám sát mọi thứ. Cuốn sách của Snowden cung cấp một câu chuyện cảnh báo về lý do tại sao điều đó lại cần thiết.

Các quản trị viên hệ thống và bảo mật được VentureBeat phỏng vấn thừa nhận rằng các cuộc tấn công mạng do nội bộ phát động là khó xác định và ngăn chặn nhất. 92% đáng kinh ngạc của các nhà lãnh đạo bảo mật nói rằng các cuộc tấn công nội bộ là không kém phần phức tạp hoặc khó xác định hơn các cuộc tấn công từ bên ngoài. Và, 74% doanh nghiệp cho biết các cuộc tấn công nội bộ đã trở nên thường xuyên hơn; hơn một nửa đã trải qua mối đe dọa nội bộ trong năm ngoái và 8% đã trải qua hơn 20 cuộc tấn công nội bộ.

Tại sao CISO triển khai IAM theo dõi nhanh

Giám đốc điều hành và đồng sáng lập CrowdStrike, George Kurtz nhận xét: “Bảo mật ưu tiên danh tính là rất quan trọng đối với tình trạng không tin tưởng vì nó cho phép các tổ chức triển khai các biện pháp kiểm soát truy cập mạnh mẽ và hiệu quả dựa trên nhu cầu cụ thể của người dùng. Bằng cách liên tục xác minh danh tính của người dùng và thiết bị, các tổ chức có thể giảm nguy cơ truy cập trái phép và bảo vệ khỏi các mối đe dọa tiềm ẩn.”

Kurtz đã nói với khán giả tại bài phát biểu quan trọng của mình tại Fal.Con 2022 rằng “80% các cuộc tấn công, hoặc các thỏa hiệp mà chúng tôi thấy, sử dụng một số hình thức đánh cắp danh tính và thông tin xác thực.”

Các CISO được phỏng vấn cho câu chuyện này cho biết họ đang tăng tốc quản lý truy cập danh tính (IAM) để đối phó với sự gia tăng các cuộc tấn công nội bộ, chi phí cao cho các danh tính bị định cấu hình sai và các chiến lược tấn công mới từ bên ngoài nhằm vào các nền tảng IAM, PAM và Active Directory của họ .

Ưu tiên cao nhất là bằng chứng về khái niệm IAM và theo dõi nhanh các thử nghiệm đến máy chủ sản xuất để đối phó với các cuộc tấn công mạnh mẽ hơn vào các công cụ cũ mà không có các tính năng bảo mật nâng cao, bao gồm cả kho tiền.

Các nhà cung cấp IAM hàng đầu bao gồm Quản lý quyền truy cập và danh tính AWSTấn công đám đông, Delinea, kinh doanh, lò rèn, Nhận dạng đám mây của Google, Nhận dạng đám mây của IBMIvanti và Microsoft Azure Active Directory.

Các bước CISO thực hiện để nhận giá trị nhanh chóng từ IAM

Nhận được nhiều giá trị nhất từ ​​việc triển khai IAM được coi là cốt lõi đối với triết lý hoạt động và khuôn khổ truy cập mạng không tin cậy (ZTNA) của CISO. Điều này càng trở nên cấp bách hơn bởi sự không chắc chắn về kinh tế và một cuộc suy thoái được dự báo trước.

Ngăn chặn đại dịch xác thực xác sống bằng cách kiểm tra tất cả các thông tin xác thực và quyền truy cập hiện có

Một lỗi phổ biến là nhập tất cả thông tin xác thực hiện có từ hệ thống quản lý danh tính cũ hiện có sang một hệ thống mới. CISO phải dự trù thời gian để kiểm tra mọi thông tin xác thực và xóa những thông tin không còn cần thiết.

Nghiên cứu của Ivanti cho thấy 45% doanh nghiệp nghi ngờ rằng các nhân viên và nhà thầu cũ vẫn có quyền truy cập tích cực vào các hệ thống và tệp của công ty. Điều này thường là do hướng dẫn hủy cấp phép không được tuân thủ chính xác hoặc do các ứng dụng của bên thứ ba cung cấp quyền truy cập ẩn ngay cả sau khi thông tin đăng nhập đã bị hủy kích hoạt.

Srinivas Mukkamala, giám đốc sản phẩm của Ivanti cho biết: “Các tổ chức lớn thường không tính đến hệ sinh thái khổng lồ gồm các ứng dụng, nền tảng và dịch vụ của bên thứ ba cấp quyền truy cập sau khi nhân viên nghỉ việc. “Chúng tôi gọi đây là thông tin xác thực xác sống và một số lượng lớn đáng kinh ngạc các chuyên gia bảo mật — và thậm chí cả các giám đốc điều hành cấp lãnh đạo — vẫn có quyền truy cập vào hệ thống và dữ liệu của các nhà tuyển dụng cũ.”

Việc áp dụng xác thực đa yếu tố (MFA) rất quan trọng ngay từ đầu khi khởi chạy IAM

Trước tiên, MFA phải được thiết kế thành quy trình công việc để giảm thiểu tác động đến trải nghiệm người dùng. Tiếp theo, CIO cần thúc đẩy dựa trên danh tính nâng cao nhận thức về bảo mật đồng thời xem xét cách các công nghệ không cần mật khẩu có thể giảm bớt nhu cầu về MFA dài hạn.

Các nhà cung cấp xác thực không cần mật khẩu hàng đầu bao gồm Microsoft Azure Active Directory (Quảng cáo xanh), Nhận dạng lực lượng lao động OneLogin, Quyền truy cập đáng tin cậy của Thales SafeNet Và Windows Xin chào dành cho doanh nghiệp.

Thực thi quản lý danh tính trên thiết bị di động đã trở thành một yêu cầu cốt lõi, vì nhiều lực lượng lao động sẽ vẫn ở chế độ ảo. Trong số những người bán hàng ở khu vực này, Không đăng nhập của Ivanti (ZSO) là giải pháp duy nhất kết hợp xác thực không cần mật khẩu, không tin cậy và trải nghiệm người dùng hợp lý trên nền tảng quản lý điểm cuối hợp nhất (UEM).

Ivanti đã thiết kế công cụ hỗ trợ sinh trắc học — Face ID của Apple — làm yếu tố xác thực phụ để truy cập các tài khoản, dữ liệu và hệ thống cá nhân và công ty dùng chung. ZSO loại bỏ nhu cầu về mật khẩu bằng cách sử dụng FIDO2 các giao thức xác thực.

Các CIO nói với VentureBeat rằng Ivanti ZSO là một chiến thắng vì nó có thể được định cấu hình trên bất kỳ thiết bị di động nào và không yêu cầu tải và vá một tác nhân khác để luôn cập nhật.

Yêu cầu xác minh danh tính trước khi cấp quyền truy cập vào bất kỳ tài nguyên nào

Thế hệ nền tảng IAM mới nhất được thiết kế với tính linh hoạt, khả năng thích ứng và tích hợp với kho công nghệ an ninh mạng rộng hơn thông qua các API mở. Tận dụng khả năng thích ứng của các nền tảng IAM mới bằng cách yêu cầu xác minh danh tính trên mọi tài nguyên, điểm cuối và nguồn dữ liệu.

Bắt đầu chặt chẽ với các biện pháp kiểm soát và chỉ cho phép truy cập trên cơ sở ngoại lệ khi danh tính được giám sát và xác thực chặt chẽ. Mọi giao dịch với mọi tài nguyên đều cần được theo dõi. Đây là một phần cốt lõi của tư duy bảo mật không tin cậy. Việc xác định xác minh danh tính nghiêm ngặt sẽ giảm nỗ lực truy cập trái phép của nhân viên, nhà thầu hoặc những người nội bộ khác, bảo vệ tổ chức khỏi các mối đe dọa bên ngoài bằng cách yêu cầu xác minh danh tính trước khi cấp quyền truy cập.

Định cấu hình IAM để không con người nào có thể đảm nhận vai trò của máy, đặc biệt là trong cấu hình AWS

Đây là điều cốt lõi dẫn đến sự tin cậy bằng 0 vì vai trò của con người trên nền tảng AWS cần phải được giới hạn ở quyền truy cập ít đặc quyền nhất.

Từ DevOps, nhóm kỹ thuật và sản xuất đến các nhà thầu bên ngoài làm việc trong một phiên bản AWS, không bao giờ cho phép các vai trò của con người giao nhau hoặc có quyền truy cập vào các vai trò của máy. Việc không thực hiện đúng điều này sẽ làm tăng khả năng tấn công và có thể dẫn đến việc một nhân viên hoặc nhà thầu lừa đảo lấy dữ liệu doanh thu bí mật thông qua một phiên bản AWS mà không ai biết. Kiểm tra mọi giao dịch và thực thi quyền truy cập ít đặc quyền nhất để tránh vi phạm.

Giám sát tất cả hoạt động IAM xuống cấp độ nhận dạng, vai trò và thông tin xác thực

Dữ liệu thời gian thực về cách thức, địa điểm và tài nguyên mà từng danh tính, vai trò và thông tin xác thực đang truy cập — và nếu có bất kỳ nỗ lực truy cập nào nằm ngoài các vai trò đã xác định — là cốt lõi để đạt được khung bảo mật không tin cậy.

CISO nói với VentureBeat rằng điều cần thiết là phải coi các mối đe dọa danh tính là nhiều mặt và nhiều sắc thái hơn so với những gì chúng xuất hiện lần đầu khi được phát hiện lần đầu thông qua giám sát và phát hiện mối đe dọa. Một lý do tuyệt vời để giám sát tất cả hoạt động IAM là để nắm bắt các cấu hình sai tiềm ẩn và dẫn đến các lỗ hổng trong các khu vực đã xác định của ngăn xếp công nghệ.

Một người quản lý SOC của một công ty dịch vụ tài chính nói với VentureBeat rằng việc giám sát đã cứu công ty của họ khỏi vi phạm. Kẻ tấn công đã đột nhập vào ô tô của một số nhân viên và đánh cắp huy hiệu của họ cũng như bất kỳ thông tin đăng nhập nào mà họ có thể tìm thấy — bao gồm cả máy tính xách tay — sau đó sử dụng chúng để truy cập vào hệ thống kế toán của công ty. Sự xâm nhập đã bị chặn ngay lập tức với sự giám sát, vì các nhân viên đã nói với bộ phận CNTT rằng máy tính xách tay của họ đã bị đánh cắp vào đầu tuần đó.

An toàn trong suy thoái kinh tế bắt đầu từ bản sắc

Các CISO, CIO, nhà quản lý SOC và nhà phân tích theo dõi các cảnh báo và mối đe dọa cho biết lỗ hổng do các hệ thống quản lý danh tính cũ để lại là liên kết bảo mật yếu nhất mà họ phải đối phó trong thời kỳ kinh tế suy thoái.

Các hệ thống IAM cũ được sử dụng chủ yếu để kiểm soát phòng ngừa, nhưng ngày nay mọi tổ chức đều cần một phương pháp tiếp cận không gian mạng linh hoạt hơn để bảo vệ mọi máy móc và danh tính con người trong doanh nghiệp của họ.

Việc triển khai IAM đang được theo dõi nhanh chóng để đảm bảo rằng chỉ danh tính của người dùng hợp pháp mới có quyền truy cập ít đặc quyền nhất vào các tài nguyên mà họ cần để thực hiện công việc của mình. Mục tiêu ngăn chặn người dùng trái phép truy cập mạng bắt đầu bằng cách loại bỏ thông tin xác thực của zombie.

Giám sát các hoạt động của người dùng là điều bắt buộc đối với bất kỳ triển khai IAM nào, vì nó có thể ngăn chặn vi phạm trong một số tình huống nhất định và ngăn chặn gian lận trước khi nó bắt đầu.